[学习记录] 32位程序调用64位API NtQuerySystemInformation 遍历内核模块

于 2022-11-02 01:08:16 发布
阅读量387 收藏
点赞数 1
文章标签: 学习 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43511498/article/details/127644347
版权

[学习记录] 32位程序调用64位API NtQuerySystemInformation 遍历内核模块

“main.cpp”
调用API

#include <iostream>
#include <Windows.h>
#include <Psapi.h>

#define EMIT(a) __asm __emit (a)

#ifndef NT_SUCCESS
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
#endif

typedef struct _RTL_PROCESS_MODULE_INFORMATION
{
	HANDLE Section;
	uint64_t MappedBase;
	uint64_t ImageBase;
	ULONG ImageSize;
	ULONG Flags;
	USHORT LoadOrderIndex;
	USHORT InitOrderIndex;
	USHORT LoadCount;
	USHORT OffsetToFileName;
	UCHAR FullPathName[256];
} RTL_PROCESS_MODULE_INFORMATION, * PRTL_PROCESS_MODULE_INFORMATION;

typedef struct _RTL_PROCESS_MODULES
{
	ULONG NumberOfModules;
	RTL_PROCESS_MODULE_INFORMATION Modules[1];
} RTL_PROCESS_MODULES, * PRTL_PROCESS_MODULES;

constexpr auto STATUS_INFO_LENGTH_MISMATCH = 0xC0000004;

NTSTATUS	NtQuerySystemInformation_x64(DWORD	SystemInformationClass, __int64 	SystemInformation, DWORD	Length,PULONG	ReturnLength)
{
	DWORD	Savefs = 0;
	DWORD	ssdt = 0x36;

	__asm {
		// 保存fs
		EMIT(0x8C) EMIT(0x65) EMIT(0xFC)
		EMIT(0xB8) EMIT(0x2B) EMIT(0x00)  EMIT(0x00)   EMIT(0x00)
		EMIT(0x66)  EMIT(0x8E)  EMIT(0xE0)
		EMIT(0x83)  EMIT(0xE4)  EMIT(0xF0)
	}

	__asm {
		// 进入X64环境
		push 0x33
		call Label1
		Label1 :
		add dword ptr[esp], 5
			EMIT(0xCB)
	}

	__asm {
		// Call函数
		EMIT(0x67) EMIT(0x8B) EMIT(0x4D) EMIT(0x08)
		EMIT(0x67) EMIT(0x48) EMIT(0x8B) EMIT(0x55) EMIT(0x0C)
		EMIT(0x67) EMIT(0x44) EMIT(0x8B) EMIT(0x45) EMIT(0x14)
		EMIT(0x67) EMIT(0x44) EMIT(0x8B) EMIT(0x4D) EMIT(0x18)
		EMIT(0x49) EMIT(0x89) EMIT(0xCA)
		EMIT(0x67) EMIT(0x8B) EMIT(0x45) EMIT(0xF8)
		EMIT(0x0F) EMIT(0x05)
	}

	__asm {
		// 退出X64环境
		Call Label2
		Label2 :
		mov dword ptr[esp + 0x4], 0x23
			add dword ptr[esp], 0xD
			EMIT(0xCB)
	}

	__asm {
		//还原FS
		EMIT(0x66) EMIT(0x8C) EMIT(0xD9)
		EMIT(0x66) EMIT(0x8E) EMIT(0xD1)
		EMIT(0x8B) EMIT(0x4D) EMIT(0xFC)
		EMIT(0x66) EMIT(0x8E) EMIT(0xE1)
	}

	__asm {
		EMIT(0x89) EMIT(0xEC)
		EMIT(0x5D)
		EMIT(0xC2) EMIT(0x14) EMIT(0x00)
	}
	return	0;
}

遍历模块

int main()
{
  	ULONG	buffer_size;
	uint64_t	buffer = 0;

	NTSTATUS	status = NtQuerySystemInformation_x64(11, 0, 0, &buffer_size);

	while (status == STATUS_INFO_LENGTH_MISMATCH) {
		if (buffer != 0)
			VirtualFree((void*)buffer, 0, MEM_RELEASE);

		buffer = (uint64_t)VirtualAlloc(nullptr, buffer_size, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
		status = NtQuerySystemInformation_x64(11, buffer, buffer_size, &buffer_size);
	}

	if (!NT_SUCCESS(status)) {
		if (buffer != 0)
			VirtualFree((void*)buffer, 0, MEM_RELEASE);
		return 0;
	}

	const auto modules = static_cast<PRTL_PROCESS_MODULES>((void*)buffer);

	if (!modules)
		return 0;

	for (auto i = 0; i < modules->NumberOfModules; ++i) {
		const std::string current_module_name = std::string(reinterpret_cast<char*>(modules->Modules[i].FullPathName) + modules->Modules[i].OffsetToFileName);

		printf("ModuleName %s ImageBase %llX  size %X \n", current_module_name.c_str(), modules->Modules[i].ImageBase, modules->Modules[i].ImageSize);
	}
	VirtualFree((void*)buffer, 0, MEM_RELEASE);
}

下面是运行结果
在这里插入图片描述
纯粹记录一下,免得日后记不住。

吹个波吹大个波
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
操作系统[系统学习二]
weixin_40996518的博客
09-09 322
文章目录系统调用什么是系统调用为什么提供系统调用系统调用和库函数的区别系统调用背后的过程总结进程定义组成组织方式链接方式索引方式进程的特性总结进程的状态与转换三种基本状态状态转换总结 系统调用 什么是系统调用 操作系统作为应用程序/用户 和 底层硬件之间的接口, 需要为上层提供一些服务. 这些接口分为命令接口(面向用户) 和 程序接口(面向应用程序) 程序接口 就是由 一组系统调用构成. 应用程序可通过系统调用 来执行一些特权指令 为什么提供系统调用 防止各个应用程序随意使用这些共享的系统资源,
遍历内核模块
qq_41490873的博客
04-19 711
typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; PDEVICE_OBJECT DeviceObject; ULONG Flags; PVOID DriverStart; ...
NtQuerySystemInformation
不完美星空
06-26 696
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现我们系统的功能。今天我们要谈的是如何通过本机系统服务(Native API)来探测本机系统信息。当然,微软没有为我们提供关于本机系统服务的文档 (Undocumented),也就是不会为对它的使用提供任何的保证,所以我们不提倡使用Na
应用层枚举内核模块
maomao171314的专栏
07-20 342
EnumKernelModules
NtQuerySystemInformation的使用
乐朝夕与之共
12-19 8431
今天,我们主要讨论的是一个函数NtQuerySystemInformation(ZwQuerySystemInformation)。当然,你不要小看这么一个函数,它却为我们提供了丰富的系统信息,同时还包 括对某些信息的控制和设置。以下是这个函数的原型:  typedef NTSTATUS (__stdcall *NTQUERYSYSTEMINFORMATION)     (IN      S
VB6.API.NtQuerySystemInformation.枚举进程和线程
02-01
总之,通过VB6和`NtQuerySystemInformation` API,开发者可以获取到比常规Windows API更深入的系统状态信息,但这也需要对Windows内核和VB6的底层机制有深入理解。对于初学者来说,这是一个挑战性的项目,但对于有...
精选_32位系统上获取SSDT表地址以及从中获取指定SSDT函数的地址_源码打包
03-10
标题中的“精选_32位系统上获取SSDT表地址以及从中获取指定SSDT函数的地址_源码打包”指的是一个专门针对32位操作系统的技术主题,涉及到系统内部的System Service Dispatch Table(SSDT)机制,以及如何通过编程...
易语言枚举内核对象句柄源码-易语言
06-13
这个易语言的源码示例将向学习者展示如何使用易语言的API调用来实现枚举内核对象句柄的功能。"枚举内核对象句柄.e"应该是易语言的源代码文件,包含了具体的程序逻辑;"自用模块.ec"则可能是一个自定义的模块文件,...
NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip
03-19
`NtQuerySystemInformation`函数是一个低级别的API调用,用于获取系统级的信息,包括但不限于进程信息、内存状态、硬件配置等。本项目通过使用`NtQuerySystemInformation`函数,可以详细地查询到指定进程在某一时刻...
SSDT表概念及遍历
06-25
SSDT是系统服务的入口点,它定义了系统如何响应用户模式应用程序调用的kernel32.dll中的各种系统服务函数。这些服务涵盖了从文件I/O到进程管理等广泛的操作。 SSDT是一个动态链接表,包含了一系列指向系统服务处理...
使用NtQuerySystemInformation遍历进程信息[详细篇]
weixin_42270114的博客
07-15 5804
使用NtQuerySystemInformation遍历进程信息[详细篇]
NtQuerySystemInformation 获取系统信息
欲穷千里目,更上一层楼
12-06 5547
Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服务。平常我们总是调用MS为我们提供的公用的Win32 API函数来实现来实现 我们系统的功能。今天我们要谈的是如何通过本机系统服务(Native API)来探测本机系统信息。当然,微软没有为我们提供关于本机系统服务的文档 (Undocumented),也就是不会为对它的使用提供任何的保证,所以我们不提倡使用N
PEB32 + PEB64遍历模块
weixin_34248705的博客
04-21 1204
为什么80%的码农都做不了架构师?>>> ...
NtQuerySystemInformation函数
zhymxt的专栏
08-29 955
转自:http://hi.baidu.com/bsbgong/blog/item/675648265f4a920b8b82a1b7.htmlhttp://hi.baidu.com/bsbgong/blog/item/675648265f4a920b8b82a1b7.html Native API乃Windows用户模式中为上层Win32 API提供接口的本机系统服
32位程序获取32/64位进程文件地址通用方法
pythonxxoo的博客
02-02 785
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 32位程序获取32/64位进程文件地址通用方法 引子 一般来说,限于32位程序GetModuleFileNameEx对于64位程序来说是不管用的,我们如果需要在32位程序获得64位进程的运行目录可能需要用到wow64或者是QueryFullProcessImageName。 但
delphi R3下 跨进程获取DLL信息 NtQueryInformationProcess
ddz777751的博客
01-12 349
unit APIUnit; { GetProcessModuleHandle API Unit Ring3调用NtQueryInformationProcess实现跨进程获取DLL句柄 } interface USES Winapi.Windows,System.SysUtils; type USHORT = Word; UNICODE_S...
Windows内核遍历驱动模块源码分析
12-10 495
获取windows 内核中所有驱动模块信息,调用 系统服务函数 NtQuerySystemInformation,参数SystemInformationClass 传入SystemModuleInformation. NtQuerySystemInformation申明如下: [cpp] view plain copy print? // ...
Windows驱动开发学习记录-遍历内核已加载模块之三(使用 AuxKlib)
时空之中的灵魂
10-14 364
附另两种方法链接 Windows驱动开发学习记录-遍历内核已加载模块之二(使用ZwQuerySystemInformation) 1.主要区别
CreateToolhelp32Snapshot是调用NtQuerySystemInformation
最新发布
05-25
CreateToolhelp32Snapshot函数会调用内部的系统API函数来获取系统信息,而这些API函数可能会调用NtQuerySystemInformation函数等底层API函数。因此,CreateToolhelp32Snapshot函数与NtQuerySystemInformation函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值